mcneil
Goto Top

Suche WLAN-Router (WLAN mit Multi-SSID, VLAN in Zusammenarbeit mit Layer2-Switch, VPN) + reine Verständnisfragen

Guten Abend,

mit dem weiteren Wachsen meines Heim-Netzwerkes bin ich nunmehr an einem Punkt angekommen, an dem für mich eine Einteilung in verschiedene VLANs sinnvoll und mit Blick auf die Sicherheit der einzelnen Komponenten, notwendig erscheint. Ich habe mich mit dem Thema zwar schon etwas befasst, stehe allerdings noch vor einigen Verständnisproblemen. Hier zunächst kurz meine derzeitige Konfiguration:

- FTTH-Anschluss mit entsprechendem Glasfaser-Modem,
- dahinter eine Fritzbox 7330, welche sodann zum Aufbau der Internetverbindung sowie als WLAN-AP (intern/Gast) fungiert,
- mit der Fitzbox ist ein HP ProCurve 1810-24G v2 (J9803A) verbunden.

Hintergrund ist, dass ich nunmehr verschiedene IP-Cams installiert habe, welche ich gerne von außen erreichen würde. Da port forwarding für mich keine Alternative ist, kam ich auf die Idee, einen VPN-Zugang zu erstellen. Leider kann ich in meiner jetzigen Lage ausschließlich einen VPN-Zugang für mein gesamtes Netzwerk einrichten, obschon ich ausschließlich Zugriff auf meine IP-Cams haben möchte. An diesem Punkt kam dann die VLAN-Idee ins Spiel.

Meine groben Vorstellungen wäre, dass ich mein Netzwerk wie folgt aufteile:

VLAN 1 - intern (10.0.10.0)
VLAN 2 - IP-Cams (10.0.20.0)
VLAN 3 - Gast (10.0.30.0)

Mit folgenden Bedingungen:

- alle VLANs sollen ins Internet,
- einzelne Geräte aus VLAN1 sollen vollen Zugriff auf alle VLANs haben,
- VLAN 2 und 3 sollen ausschließlich in ihrem jeweiligen VLAN bleiben,
- 1x WLAN für Verbindung zu VLAN 1 (und darüber zu VLAN 2) und 1x WLAN für Verbindung zu VLAN 3,
- VPN-Zugang für VLAN 2.

Nun bin ich mir bezüglich der Umsetzung etwas unsicher. Mein L2-Switch ist zumindest VLAN-fähig, aber nicht in der Lage zu routen - und die Fritzbox natürlich ebensowenig. Daher war meine (richtige bzw. falsche) Idee, dass ich die Fritzbox durch einen neuen WLAN-Router ersetze (ein weiteres Gerät wollte ich nicht "dazwischenschalten"), der die o. g. Anforderungen erfüllt und zukünftig zwischen den VLANs routet.

Ist meine Herangehensweise erstmal richtig? Und wenn ja: Könnt ihr mir ggf. einzelne WLAN-Router empfehlen, die für das Vorhaben geeignet sind?

Vielen Dank!
mcneil

Content-Key: 322503

Url: https://administrator.de/contentid/322503

Ausgedruckt am: 19.03.2024 um 03:03 Uhr

Mitglied: BirdyB
Lösung BirdyB 01.12.2016 um 07:39:08 Uhr
Goto Top
Moinmoin,
ich würde da entweder ein OpenWRT-Gerät, eine pfSense oder einen Mikrotik empfehlen.
Je nach Vorliebe und Hardwareanforderungen.
Beste Grüße!
Mitglied: 108012
Lösung 108012 01.12.2016 um 18:39:11 Uhr
Goto Top
Hallo,

Glasfaser-Modem
welches Modell genau ist das denn wohl? (Nur aus eigenem Interesse!)

Sind an der AVM FB denn auch Telefoniegeräte angeschlossen worden?
Ansonsten würde ich einfach eine pfSense Firewall hinter das Modem
setzen und dann eben ab dort alles erledigen lassen was Du möchtest!

- Privates & Gast VLAN
- DMZ mit Layer2 Switch und den Kameras
- LAN mit Layer2 oder Layer3 Switch mit den restlichen Geräten

VLAN 1 - intern (10.0.10.0)
VLAN 2 - IP-Cams (10.0.20.0)
VLAN 3 - Gast (10.0.30.0)
VLAN1 - Default VLAN wo alle Geräte drinnen sind
VLAN10 - LAN Geräte
VLAN20 - Privates WLAN (Internet & LAN & DMZ)
VLAN30 - Gäste WLAN (nur Internet)

Mit folgenden Bedingungen:
alle VLANs sollen ins Internet,
Ok

einzelne Geräte aus VLAN1 sollen vollen Zugriff auf alle VLANs haben,
OK

VLAN 2 und 3 sollen ausschließlich in ihrem jeweiligen VLAN bleiben,
OK, würde ich aber in die DMZ packen und dann via VPN von außerhalb drauf zugreifen.

1x WLAN für Verbindung zu VLAN 1 (und darüber zu VLAN 2) und 1x WLAN
für Verbindung zu VLAN 3,
Privates WLAN mit Zugriff auf LAN und DMZ & Internet
Gäste WLAN mit Zugriff auf das Internet

VPN-Zugang für VLAN 2.
Wenn das VPN steht, kann man in der Regel auf das gesamte LAN und die DMZ zugreifen.

Gruß
Dobby
Mitglied: aqui
Lösung aqui 01.12.2016 um 20:32:54 Uhr
Goto Top
Das VLAN Tutorial erklärt dir die Details und gibt Tips für sinnvolle Router HW:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Mitglied: mcneil
mcneil 01.12.2016 aktualisiert um 23:16:06 Uhr
Goto Top
Nabend,

erstmal vielen Dank für eure Antworten. Es scheint mir also, dass meine Umsetzungsidee schonmal richtig ist - ich mich zunächst also nur um die Hardwarefrage kümmern muss.


Zitat von aqui

Das VLAN Tutorial erklärt dir die Details und gibt Tips für sinnvolle Router HW:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

Danke für den Link aqui. Hatte mich vor der Erstellung des Threads auch schon etwas mit dem Thema befasst, doch da ich mit diesem Bereich bislang 'null' Anküpfungspunkte hatte, wollte ich zunächst - vor dem Kauf der Hardware - mal eine Rückmeldung erhalten, ob ich das bislang Gelesene richtig verstanden habe - siehe meine "Umsetzungsidee". Da jetzt niemand eklatante Denkfehler aufgezeigt hat, scheine ich auf dem richtigen Weg zu sein.


Zitat von BirdyB

ich würde da entweder ein OpenWRT-Gerät, eine pfSense oder einen Mikrotik empfehlen.

Danke BirdyB für die Rückmeldung. Mit den einzelnen Möglichkeiten hatte ich mich auch schon kurz auseinandergesetzt, überlege allerdings doch eher auf ein "Gesamtkonzept" eines Herstellers (Cisco o. Ä.) zu setzen, welches für mich einen geringeren Konfigurations- bzw. zukünftigen Wartungsumfang bedeutet. (Nach dem Motte: Ich kaufe Produkt X, welches hardware- und softwaretechnisch zusammenpasst und entsprechend abgestimmt ist.)

Ich verbinde OpenWRT etc. aus meinen Erinnerungen immer mit einem erhöhten (Bastel-/)Konfigurationsaufwand. Vielleicht täuschen mich aber auch meine (durchaus nicht mehr aktuellen) Erfahrungen diesbezüglich.


Zitat von Dobby
welches Modell genau ist das denn wohl? (Nur aus eigenem Interesse!)

Hallo Dobby. Danke für die umfangreiche Antwort. Wirklich viel kann ich dir leider nicht dazu sagen. Das Teil (Genexis) wurde bei der Einrichtung meines Anschlusses installiert und hängt seitdem in meinem HWR.

Zitat von Dobby
Sind an der AVM FB denn auch Telefoniegeräte angeschlossen worden?

Nein, die FB ist ausschließlich mit dem Switch verbunden und dient als WLAN-AP.

Zitat von Dobby
Ansonsten würde ich einfach eine pfSense Firewall hinter das Modem setzen und dann eben ab dort alles erledigen lassen was Du möchtest!

- Privates & Gast VLAN
- DMZ mit Layer2 Switch und den Kameras
- LAN mit Layer2 oder Layer3 Switch mit den restlichen Geräten

Verstehe ich dich richtig, dass ich 2 Switche benötige? Meine Vorstellung war eigentlich, dass ich meinen vorhandenen Layer2-Switch (mit allen angeschlossenen Geräten) nutze und mit diesem entsprechende VLANs einrichte, wobei der VPN-Zugang auf das VLAN "IP-Kameras" beschränkt ist.

Folge ich nunmehr deinem Vorschlag und nutze meinen derzeit vorhandenen Layer2-Switch für das interne LAN und einen (neuen) weiteren Layer2-Switch für die DMZ, stellt sich mir nur noch die Frage, welchen WLAN-Router ich hierfür nutzen kann?

Damit ich nun nicht unzählige Datenblätter etc. wälzen muss (wenn es doch notwendig ist, mache ich das aber auch), wollte ich kurz nachfragen ob du/ihr auf Anhieb mir einen entsprechenden WLAN-Router (Cisco o. Ä.) als Ersatz für die FB vorschlagen könntet, der in das von dir geschilderte Konzept passt?

Vielen Dank für die bisherige Hilfe
mcneil

EDIT: Habe noch ein bisschen Zeit gefunden, um etwas zu googlen etc. Bin dabei über den Cisco RV134W-E-K9-G5 gestolpert. Würde dieser passen?
Mitglied: 108012
Lösung 108012 02.12.2016 um 01:27:47 Uhr
Goto Top
Hallo,

Hallo Dobby. Danke für die umfangreiche Antwort. Wirklich viel kann
ich dir leider nicht dazu sagen.
Warum? Die Firma produziert nur 4 Geräte! Ist das nun ein GPON oder ein Router?

Das Teil (Genexis) wurde bei der Einrichtung meines Anschlusses installiert
und hängt seitdem in meinem HWR.
Ok und wer macht denn dort SPI/NAT am Internetanschluss.

Nein, die FB ist ausschließlich mit dem Switch verbunden und dient als WLAN-AP.
Ok das kam vorhin nicht so richtig herüber für mich!

Verstehe ich dich richtig, dass ich 2 Switche benötige?
Ich habe das mit der AVM FB wohl anders verstanden, nur würde ich immer eine
DMZ aufsetzen in die dann alles kommt was das Netzwerk stören könnte bzw.
belasten könnte. Macht aber nicht jeder und muss auch nicht sein.

Meine Vorstellung war eigentlich, dass ich meinen vorhandenen Layer2-Switch
(mit allen angeschlossenen Geräten) nutze und mit diesem entsprechende
VLANs einrichte, wobei der VPN-Zugang auf das VLAN "IP-Kameras" beschränkt ist.
Das muss man nicht machen denn wenn das VPN "steht" kann man so oder so
auf das gesamte LAN dahinter zugreifen!

Folge ich nunmehr deinem Vorschlag und nutze meinen derzeit vorhandenen
Layer2-Switch für das interne LAN und einen (neuen) weiteren Layer2-Switch
für die DMZ,
Vergiss das einfach und dann ist es gut, nur es bleibt trotz alledem dabei
nur ein VLAN für das VPN freigeben ist Unsinn wenn Du der Einzige VPN
Benutzer bist der von außen zugreift.

stellt sich mir nur noch die Frage, welchen WLAN-Router ich hierfür nutzen kann?
Ich würde auf pfSense gehen wollen denn dann hat man folgendes für sein LAN;
- OpenLDAP Server für Kabel gebundene Klienten
- FreeRadius Server für die privaten WLAN Klienten
- Captive Portal für die externen WLAN Klienten
- Snort als IDS
- OpenVPN Server und/oder IPSec VPN
- Squid als HTTP Proxy
- pfBlockerNG

Damit ich nun nicht unzählige Datenblätter etc. wälzen muss (wenn es
doch notwendig ist, mache ich das aber auch),
Also da hast Du aber ein Problem denn so einfach wie die AVM FB ist nur
die AVM FB! Und die pfSense ist auch nicht all zu schwer, aber die gebotene
Leistung ist um ein Vielfaches größer!

wollte ich kurz nachfragen ob du/ihr auf Anhieb mir einen entsprechenden
WLAN-Router (Cisco o. Ä.) als Ersatz für die FB vorschlagen könntet,
Also für das was Du hier beschreibst wäre auch ein MikroTik Router
schick der dann mehrere Funktionen noch "on top" mitbringt, allerdings
ist dort die Lernkurve schon etwas steiler als bei pfSense, die aber wäre
schon fett und gut für Dich!!!! Esgibt
- zu pfSense und MikroTik RouterOS drei Bücher
- Schulungen wenn es braucht
- Foren die auch deutsch sprachig sind
- hier im Forum Leute die damit gut umgehen können

der in das von dir geschilderte Konzept passt?
Du brauchst etwas was die VLANs selber routen kann!
Hast ein Gast und Privat WLAN und zusätzlich noch VPN
mit auf dem Plan, also glaube mir das wäre schon gut mit
der pfSense auf einer APU2C4 denn darauf lässt sich gegebenenfalls
auch noch RouterOS, OpenWRT, DD-WRT, IPFire, fli4l, Smoothwall oder
gar Sophos bzw. Untangle UTM installieren!

EDIT: Habe noch ein bisschen Zeit gefunden, um etwas zu googlen
etc. Bin dabei über den Cisco RV134W-E-K9-G5 gestolpert. Würde dieser passen?
Kann man auch benutzen wenn der VLANs beherrscht ist das auch ok!

Gruß
Dobby
Mitglied: mcneil
mcneil 02.12.2016 um 20:27:10 Uhr
Goto Top
Hallo,

Warum? Die Firma produziert nur 4 Geräte! Ist das nun ein GPON oder ein Router?

Wie gesagt, es scheint für mich ausschließlich ein Modem zu sein. Zugriff habe ich auf den Genexis nicht weiter - außer: Stecker rein und die FB baut dann die Internetverbindung mit den entsprechenden Zugangsdaten selbst auf. Jetzt (ich habe mein Glasfaseranschluss schon etwas länger) ist es wohl so, dass immer eine Spleißbox nebst Medienwandler installiert wird.

Mehr kann ich hierzu leider nicht beisteuern.

Ok und wer macht denn dort SPI/NAT am Internetanschluss.

Derzeit meine FB.

Ich habe das mit der AVM FB wohl anders verstanden, nur würde ich immer eine DMZ aufsetzen in die dann alles kommt was das Netzwerk stören könnte bzw. belasten könnte. Macht aber nicht jeder und muss auch nicht sein.

Ich habe mir jetzt noch einige Gedanken gemacht und werde mich da wohl an deinem Vorschlag orientieren. Also: 2. Switch + DMZ.

Ich würde auf pfSense gehen wollen [...]

Ich werde mich jetzt wohl doch auf einen Cisco Router (RV134W-E-K9-G5 oder RV130W-WB-E-K9-G5) festlegen. Denke, dass diese mit ihren Spezifikationen wohl ganz gut zu mir und meinem Vorhaben passen.

Damit ich nun nicht unzählige Datenblätter etc. wälzen muss (wenn es doch notwendig ist, mache ich das aber auch),
Also da hast Du aber ein Problem denn so einfach wie die AVM FB ist nur die AVM FB!

Der Einwand bezüglich der Datenblätter zielte ausschließlich auf den Vergleich verschiedener Produkte ab. Bzgl. der anschließenden Konfiguration bin ich keinesfalls lese- noch lernfaul.

Abschließen aber nochmals danke für die Unterstützung. Ich weiß nun, dass meine Idee in der Theorie funktioniert. Nun kann ich mich an die Hardwarebeschaffung und sodann an die Umsetzung machen.

Schönen Abend noch
mcneil